Ciberataque: conocé el método credential stuffing con el que vulneraron a PayPal

PayPal, el servicio que te permite pagar, enviar dinero y aceptar pagos sin tener que introducir tus datos financieros, informó a través de un comunicado que sufrió un incidente de seguridad que afectó a gran cantidad de usuarios. 

Desde la compañía, explicaron que entre el 6 y el 8 de diciembre de 2022 terceros no autorizados ingresaron a cuentas de clientes utilizando sus credenciales de inicio de sesión.

A su vez, informaron que las credenciales se obtuvieron de brechas de seguridad pasadas, mediante algún tipo de ataque de fuerza bruta.

Según detallaron en el comunicado, los atacantes tuvieron acceso a datos como nombre, dirección, número de seguro social, número de identificación tributaria o fecha de nacimiento.

Por otro lado, es importante destacar que el acceso a las cuentas de PayPal también permiten obtener el historial de transacciones y obtener algunos datos de las tarjetas vinculadas.

"El riesgo de que hayan tenido acceso a esta información está relacionado con la posibilidad de ser blanco de ataques de phishing o de robo de identidad", comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

PayPal sufrió un ataque de terceros no autorizados.

Y agregó: "Los atacantes pueden comercializar estos datos o pueden incluso utilizarlos ellos mismos para realizar fraude".

PayPal bajo un ataque de seguridad

La compañía tomó la decisión de resetear las contraseñas de las cuentas afectadas en el incidente.